文章总结： 文章披露某系统鉴权绕过漏洞的代码审计过程，发现cookie中openid参数可控，经URL解码及自定义解密函数处理后提取uid查询用户组权限。通过将已知管理员uid加密编码为openid值提交，可绕过权限验证直接登录后台，并附yakit工具验证截图。 综合评分： 70 文章分类： 代码审计,漏洞分析,渗透测试,web安全

代码审计 一次鉴权绕过

原创

moonsec moonsec

moonsec

2026年4月16日 13:05 广东

在小说阅读器读本章

去阅读

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。

一、介绍

鉴权绕过是指通过各种手段绕过系统的身份验证或授权机制，以获取未授权的资源访问权限。

二、审计过程

最近审计一套系统 发现一个鉴权绕过的漏洞。

漏洞代码

cookie的openid的值可控。 openid存在%符号则 url解码  接着调用jiemi函数进行解密

解密之后取数字到getMemberByUid函数中进行查询。跟进  getMemberByUid函数

uid就是查询的值

简单来说就说 从 openid获取值进行解密之后取uid的值进行查询 取用户的gropid值再进行权限验证。

在表中存在一个固定的管理员账号 uid是固定的。

只要将这个uid值进行加密编码成openid字符串 cookie提交即可绕过

payload

openid的值

使用yakit进行提交 成功登录后台。

想系统学习渗透测试？扫码报名培训课程！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：moonsec moonsec moonsec《代码审计 一次鉴权绕过》